|
|
|
Распространение ISO/IEC 27001:2005 расширяется благодаря универсальностиМеждународный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» завоевывает все большую популярность — как в мировой корпоративной среде, так и на российском рынке ИБ. Всего в мире выдано более 3650 сертификатов соответствия ISO 27001. Благо, как и все выходящие «из недр» ISO стандарты, он является универсальным и не привязан к какой-либо сфере деятельности организации. А его требования, обязательные для внедрения, не накладывают каких-либо технических ограничений. Стандарт ISO/IEC 27001:2005 происходит из Британского стандарта BS 7799, который был разработан в 1995 году Британским институтом стандартов BSI в сотрудничестве с такими крупными международными компаниями, как Shell UK, National Westminster Group, Unilever, British Telecommunications и др. на основании их наработок в области практических аспектов обеспечения ИБ. Британские стандарты серии BS 7799 являются «старшими братьями» для международной серии ISO/IEC 27000 — BSI «опробует» их сначала в локализованном виде и после одобрения предлагает Международной организации по стандартизации ISO как основу для международных стандартов. В 1999 году первая часть стандарта BS 7799 была передана в ISO и в 2000 году впервые утверждена в качестве международного стандарта как ISO/IEC 17799:2000 (BS 7799-1:2000), который стал набором «лучших мировых практик» в обеспечении ИБ. Одновременно были опубликованы требования к Системе управления информационной безопасностью (СУИБ) как вторая часть стандарта BS 7799 — BS 7799-2:1999 Information Security Management — Specification for ISMS (ISMS — Information Security Management System). Продолжением развития стал стандарт ISO/IEC 17799:2005, который был обновлен в связи с развитием методов обеспечения ИБ в мировой практике. В России экспертами в области информационной безопасности стандарт ISO/IEC 17799 начал применяться на практике начиная с 2002 года. В 2002 году стандарт BS совершенствуется и выпускается его новая редакция — BS 7799-2:2002. На ее основе 14 октября 2005 года принимается стандарт ISO/IEC 27001:2005. Важно указать, что, в отличие от ISO/IEC 17799:2005, содержащем описание «лучших практик» и лишь рекомендовавших их к внедрению, стандарт ISO/IEC 27001:2005 выдвигает жесткие условия к разработке, внедрению и совершенствованию СУИБ, что позволяет проводить сертификацию на соответствие его требованиям. Так же, ISO/IEC 27001:2005 содержит приложение, в котором перечислены «лучшие практики» мер контроля рисков ИБ, рекомендованные для внедрения, взятые из ISO/IEC 17799:2005, в плоть до сохранения нумерации. Развитие серий стандартов BS 7799 и ISO/IEC 27000 продолжается: ожидается принятие стандарта ISO/IEC 27002, который сменит ISO/IEC 17799:2005, и ISO/IEC 27005, который определит требования к методике оценки рисков и будет основываться на стандарте недано принятом BS 7799-3:2006. Если попытаться выразить суть стандарта одним предложением, то звучать это будет так: «Выбор адекватных мер по защите активов компании от идентифицированных угроз в соответствии с их критичностью для бизнеса». Важно отметить, что стандарт применяется к выбранному организацией набору бизнес процессов, который важен для основного бизнеса компании, определяемый в стандарте как область деятельности (ОД) СУИБ. Если компания принимает решение, что не все ее бизнес-процессы являются критичными, то она вправе определить ОД не как весь бизнес компании, а сузить ее. В ОД должны входить критичные для функционирования организации бизнес-процессы, от корректной работы которых зависит присутствие компании на рынке, ее доход и т.п. Выполнение данного условия придает практический смысл внедрению СУИБ в организации — такая система будет реально обеспечивать безопасность бизнес-процессов, окупать себя в финансовом плане, ее работа не сведется чисто к «маркетинговому флагу». Отличительной особенностью всех стандартов, выходящих «из недр» ISO, является их универсальность, не привязанность к какой-либо сфере или роду деятельности организации. Требования стандарта, обязательные для внедрения, не накладывают каких-либо технических требований на ИТ-средства или средства защиты информации — стандарт не ставит каких-либо ограничений на выбор программно-аппаратных средств и оставляет организации полную свободу выбора технических решений по защите информации. Этапы создания СУИБ Согласно рекомендациям BSI, основного разработчика стандарта, последовательность построения СУИБ в соответствии с требованиями ISO/IEC 27001:2005 состоит из следующих шагов. Во-первых, приобретение стандарта. При сертификационном аудите не должен возникнуть вопрос о легальности наличия копии стандарта в организации — соблюдение законодательства — важный аспект функционирования организации. Во-вторых, прохождение обучения сотрудниками компании, которые будут участвовать в построении СУИБ. для понимания ими требований стандарта, ознакомленния с примерами внедрения в других организациях. Также необходимо наличие как минимум 2х сотрудников, прошедших подготовку на курсе внутренних аудиторов по данному стандарту (требование BSI). В-третьих, получение поддержки от руководства компании и организация проектной группы по внедрению требований стандарта, утверждение ее руководством и делегирование ей необходимых полномочий. Желательно — приказом по организации от лица высшего руководства — генерального директора или совета директоров. В-четвертых, решение о сотрудничестве с внешними консультантами. Заручившись поддержкой высшего руководства необходимо принять решение — будет ли компания внедрять СУИБ своими силами, или будет привлечена сторонняя компания-консультант. Требования к компании-консультанту можно свести к следующему списку: Наличие опыта в области аудита ИБ на соответствие требованиям ISO/IEC 27001:2005 и реализации проектов в области построения СУИБ; высокий квалификационный статус, подтвержденный независимой оценкой качества выполненных проектов, отзывами клиентов и деловых партнеров; наработка собственных комплексных методик аудита ИБ и построения СУИБ, анализа и управления рисками и т. д., не только включающих в себя рекомендации «best practices» в области ИБ, но и расширенных за счет использования других стандартов и методик; наличие специалистов, квалификация которых подтверждена международными сертификатами (такими, как: CISSP — управление ИБ, CISA — ИТ аудит, ISMS Lead Auditor — аудит на соответствие требованиям ISO/IEC 27001:2005), наличие партнерских соглашений с сертифицирующей организации, например с BSI Management Systems. В-пятых, обследование ИС на соответствие требованиям стандарта — gap-analysis, в ходе которого будет составлен список несоответствий, разработаны предложения по выбору области деятельности СУИБ, выработаны рекомендации по ее внедрению. Затем — выбор и утверждение у высшего руководства область деятельности (ОД) СУИБ на основании результатов и знания бизнеса компании; разработка (или доработка, если она уже существовала ранее) Политики ИБ, утверждение ее высшим руководством организации; формализация ОД, инвентаризация активов, определение их ценности. Построение СУИБ в соответствии со стандартом ISO/IEC 27001:2005 предполагает проведение формализации бизнес-процессов в ОД для выявления всех активов процессов, выявление из них критичных, определение владельцев критичных активов и последующий анализ рисков. Далее проводится анализ рисков для критичных активов. Простая и понятная методика оценки рисков — большой плюс при прохождении сертификационного аудита. Не стоит увлекаться громоздкими методиками сторонних разработчиков — значительно лучше создать свою, простую и понятную методику, удовлетворяющую требованиям стандарта. Затем выбираются и внедряются механизмы контроля активов как из приложения А стандарта, так и самостоятельно разработанных. Документируется СУИБ, завершается формирование пакета ОРД — подполитик, регламентов и процедур. Запускается программа внутренних аудитов и анализа СУИБ, в ходе которых будет происходить процесс совершенствования системы, нарабатываться записи об ее функционировании. Наконец, компания проходит сертификацию. Дать денежную оценку стоимости подготовки компании к сертификации и самого сертификационного аудита без знания бизнеса организации очень сложно. Она зависит от таких параметров, как: количество и сложность бизнес-процессов в области сертификации, уровня зрелости ИБ в организации, квалификация и количество консультантов, метод проведения консалтинга: активный или пассивный и других «переменных» — от нескольких десятков до нескольких сотен тысяч условных единиц. Временная оценка длительности процесса от момента принятия решения к подготовке к сертификации до получения сертификата — примерно год — полтора. Примеры сертификаций в телекоме и банках Данная сертификация на рынке телекоммуникаций, да и вообще на рынке ИТ-безопасности отличительна тем, что впервые в область деятельности СУИБ был включен бизнес-процесс организации, который для нее действительно критически важен с точки зрения получения дохода — биллинговое решение. Для любого оператора связи биллинг является основным процессом, от правильности функционирования которого зависит доход и репутация компании, нарушения в его работе может привести к серьезным финансовым потерям. До этого сертификаты ISO\IEC 27001:2005 уже выдавались в России, но только данная сертификация первой затронула основной бизнес-процесс компании. Так же стоит отметить качество построения СУИБ, практически полностью согласно рекомендациям основного разработчика стандарта компании BSI — образцовая система за счет небольшого размера ОД, четкой ее формализации и малого количества вовлеченных сотрудников. Отличительной чертой сертификации финансовой компании является большой размер области деятельности СУИБ — практически весь основной бизнес компании: более 10 департаментов, около 1500 человек, включая даже операционное обслуживание. Ранее в России не готовились к сертификации решения такого масштаба, с таким количеством вовлеченных сотрудников и бизнес-процессов. Это привело к таким проблемам при создании системы, как: трудность доведения до сотрудников принципов работы СУИБ; трудности с проверкой адекватности предоставляемой информации при формализации бизнес-процессов, входящих в ОД; затрудненный и громоздкий анализ рисков. В итоге опробованные ранее на небольших ОД решения не дали бы аналогичного «красивого» решения, так как не все элементы были возможны к внедрению с таким же качеством, большой размер ОД делал не возможным такое же полное участие компании-консультанта в процессе внедрения, как при внедрении СУИБ до этого момента. Также стоит отметить такой важный момент, который играет большую положительную роль в процессе построения и внедрения СУИБ, как внутренняя корпоративная культура организации — от того, как построена внутренняя система подчиненности подразделений ИБ, какие полномочия делегированы ему высшим руководством. Обязательность и качество исполнения решений проектной команды по внедрению СУИБ сильно упрощает последующую сертификацию системы. Аналогично корректная формализация и автоматизация бизнес-процессов (например, система электронного документооборота) сильно сокращает временные и ресурсные затраты на внедрение СУИБ в компании. Выгоды от создания и сертификации СУИБ Повторимся: безопасность не есть продукт, безопасность — это процесс. Не бывает так, что создав что-то, обеспечивающее безопасность, была получена полная защита бизнеса — мир не стоит на месте, возникают новые угрозы, обнаруживаются новые уязвимости. Внедряя систему управления информационной безопасностью, мы строим не сколько систему защиты, сколько систему, которая будет обеспечивать непрерывное развитие мер защиты нашего бизнеса адекватно возникающим угрозам. После проведения работ по построению подсистемы ИБ в соответствии со стандартом ISO/IEC 27001:2005, функционирование большинства информационных ресурсов становится понятным для руководства компании, выявляются основные угрозы безопасности для существующих бизнес-процессов, формализуются сами бизнес-процессы. Это позволяет руководству компании более адекватно контролировать текущую ситуацию в таком ранее «непонятном» активе, как ИТ. Кроме этого, в ходе аудитов вырабатываются рекомендации по повышению уровня защищенности, противодействию обнаруженным угрозам и устранению недостатков в системе безопасности и управления. Документирование СУИБ позволяет создать полный и четкий свод правил ИБ организации, что приводит к повышению внутренней культуры в компании, дает четкое разделение полномочий и ответственности за обеспечение ИБ в компании, повышает ее устойчивость в случае непредвиденных изменений. В силу гармонизированности требований стандартов серии ISO построение СУИБ в соответствии с ISO/IEC 27001:2005 позволяет в дальнейшем значительно упростить внедрение других систем менеджмента, таких как управление ИТ-сервисами в соответствии с ISO/IEC 20000-1:2005 «Спецификация по управлению ИТ-сервисами» или системы менеджмента качества в соответствии с ISO/IEC 9001:2000. Стандарт ISO/IEC 20000-1:2005 покрывает большую область, нежели чем ISO/IEC 27001:2005 — ИТ- сервисы компании, в которые так же входит и ИБ, и содержит положение, что обеспечение ИБ в области деятельности стандарта ISO/IEC 20000-1:2005 должно обеспечиваться согласно ISO/IEC 27001:2005. Возможна и сертификация такой интегрированной системы: компания BSI предлагает для компаний, внедривших стандарты серий 9000, 20000 и 27000 сертификат на «Интегрированную систему менеджмента». Сертификация же СУИБ на соответствие стандарту ISO/IEC 27001:2005 позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что компания постоянно работает над внедрением ведущих мировых практик в области информационной безопасности и обеспечивает выполнение его требований надлежащим образом. Таким образом, компания демонстрирует высокий уровень надежности, что повышает ее авторитет и уровень доверия к ней. В общем случае получение международных сертификатов — декларация соответствия компании мировым уровням. Для компании, акции которой торгуются на ведущих иностранных биржах, наличие сертификата — важное преимущество, которое показывает акционерам и партнерам, что вложенные инвестиции надежно защищены и должным образом управляются. Получение сертификата также повышает стоимость бренда, особенно если речь будет идти о слиянии или покупке фирм. Потенциальный собственник предпочитает понимать, какие инструменты используются для управления безопасностью, ценит прозрачность системы информационной безопасности. В случае только планируемого размещения акций компании на бирже наличие сертификата приводит к упрощению процедуры выхода на IPO вследствие упрощения прохождения 3-ей стадии — «technical due diligence» — и может повысить стоимость размещения. Александр Митрохин |